Распоряжение от 25.04.2014 г № 160

Об обработке и защите персональных данных в администрации района


В соответствии со ст. 29, 30 Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Указом Президента РФ от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и Федеральным законом от 27 июля 2011 года N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", в целях создания системы нормативно-правовых документов в сфере безопасности персональных данных, разрабатываемых в интересах формирования и развития системы защиты информации с ограниченным доступом в Белгородской области:
1.Утвердить Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации района и структурных подразделений администрации (прилагается).
2.Рекомендовать главам администраций городского и сельских поселений района, руководителям управлений администрации района:
- изучить и руководствоваться утвержденным Положением;
- обеспечить защиту персональных данных работников органов местного самоуправления Краснояружского района от неправомерного использования или утраты в порядке, установленном федеральными законами;
- издать соответствующие распорядительные документы в целях защиты персональных данных при их обработке в информационных системах, назначить ответственных за обеспечение безопасности информации при использовании средств автоматизации, хранении и передаче персональных данных.
3.Начальникам отделов администрации района:
- изучить и руководствоваться утвержденным Положением;
- обеспечить защиту персональных данных работников администрации района от неправомерного использования или утраты в порядке, установленном федеральными законами.
4.Признать утратившим силу распоряжение главы администрации района от 20.07.2011 N 68-ДСП "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных работников при их обработке в информационных системах".
5.Контроль за исполнением распоряжения возложить на заместителя главы администрации, руководителя аппарата Бондарь А.И.
Глава администрации
Краснояружского района
В.БУРБА
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ СИСТЕМАХ АДМИНИСТРАЦИИ РАЙОНА И
СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЙ АДМИНИСТРАЦИИ
Основные термины и определения
Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Несанкционированный доступ (НСД) - получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
- доступ к информации или ее носителям с нарушением правил доступа к ним;
- ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных - обязательное для соблюдения работодателем или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Служебные сведения (служебная тайна) - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
Уполномоченное оператором лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
Трансграничная передача персональных данных - передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
1.Общие положения
1.1.Настоящее Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных органов исполнительной власти, государственных органов района (далее - Положение) определяет порядок получения, хранения, передачи, автоматизированной обработки персональных данных в ИСПДн, а также без использования средств автоматизации в органах исполнительной власти, государственных органах района (далее - органы власти района).
1.2.Цель разработки настоящего Положения - определение порядка защиты ПДн от несанкционированного доступа и их разглашения.
1.3.Настоящее Положение разработано на основе и во исполнение:
- части 1 статьи 23, статьи 24 Конституции Российской Федерации;
- Кодекса Российской Федерации об административных правонарушениях;
- положений главы 14 Трудового кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
- статьей 42, 43 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации";
- пунктов 3, 4, 5 статьи 14 Федерального закона от 23 мая 2003 г. N 58-ФЗ "О системе государственной гражданской службы Российской Федерации";
- Указа Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";
- Указа Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
- Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
- Постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Приказа ФСТЭК от 5 февраля 2010 г. N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных".
1.4.Положение определяет права и обязанности руководителей органов местного самоуправления района, муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, руководителей структурных подразделений администрации района, руководителей предприятий и организаций района, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по сбору, документированию, хранению и уничтожению ПДн.
2.Состав персональных данных
2.1.Документами, содержащими ПДн, являются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о постановке на учет в налоговый орган и присвоении ИНН;
- документы воинского учета;
- документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
- личная карточка работника (форма Т-2 );
- личный листок по учету кадров;
- медицинское заключение о состоянии здоровья;
- документы, содержащие сведения о заработной плате, доплатах и надбавках;
- распоряжения о приеме лица на работу, об увольнении, а также о переводе на другую должность;
- другие документы, содержащие сведения составляющие ПДн.
2.2.Перечень ПДн, обрабатываемых в органах власти района и подлежащих защите от несанкционированного доступа, согласовывается с кадровым подразделением и утверждается главой администрации района.
2.3.В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, предоставленные субъектом ПДн.
Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
3.Основные условия безопасности при проведении обработки персональных данных
3.1.Обеспечение безопасности при проведении обработки ПДн в информационных системах ПДн органов власти района с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", Приказа ФСТЭК от 5 февраля 2010 г. N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
Ответственный за работу с персональными данными (далее - Оператор) до начала обработки ПДн обязан уведомить уполномоченный Правительством Российской Федерации орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов ПДн обработку ПДн:
1) относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов ПДн;
4) являющихся общедоступными ПДн;
5) включающих в себя только фамилии, имена и отчества субъектов ПДн;
6) необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в ИСПДн, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
3.2.Обработка ПДн осуществляется:
- после получения согласия субъекта ПДн, составленного по форме согласно приложению N 1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июня 2006 г. N 152-ФЗ "О персональных данных";
- после направления уведомления об обработке ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
- после принятия необходимых мер по защите ПДн.
3.3.В органах власти района решением руководителя назначается ответственный за обеспечение защиты ПДн и определяется перечень лиц, допущенных к обработке ПДн.
3.4.Лица, допущенные к обработке ПДн, в обязательном порядке под роспись должны ознакомиться с настоящим Положением и подписать обязательство о неразглашении информации, содержащей ПДн, по форме согласно приложению N 2 к настоящему Положению.
3.5.Запрещается:
- обрабатывать ПДн в присутствии лиц, не допущенных к их обработке;
- осуществлять ввод ПДн под диктовку.
3.6.Не допускается обработка ПДн в ИСПДн с использованием средств автоматизации:
- при отсутствии установленных и настроенных сертифицированных средств защиты информации;
- при отсутствии утвержденных организационных документов о порядке эксплуатации ИСПДн.
4.Сбор, обработка и хранение персональных данных
4.1.Сбор ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района.
Документы, содержащие ПДн, создаются путем:
а) копирования оригиналов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и другие документы);
б) внесения сведений в учетные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов (трудовая книжка, личный листок по учету кадров, медицинское заключение).
4.2.Обработка ПДн муниципальных служащих и работников администрации района осуществляется исключительно в целях:
а) обеспечения соблюдения законов и иных нормативных правовых актов;
б) содействия в трудоустройстве;
в) обеспечения личной безопасности;
г) контроля количества и качества выполняемой работы;
д) обеспечения сохранности имущества.
4.3.ПДн следует получать лично у муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, за исключением случаев, если получение возможно только у третьей стороны.
Получение ПДн от третьих лиц возможно только при уведомлении муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, об этом заранее и с их письменного согласия.
В уведомлении о получении ПДн у третьих лиц должна содержаться следующая информация:
а) цели получения ПДн;
б) предполагаемые источники и способы получения ПДн;
в) характер подлежащих получению ПДн;
г) последствия отказа муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, дать письменное согласие на их получение.
4.4.Органы власти района не имеют права получать и обрабатывать ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, об их политических, религиозных и иных убеждениях и частной жизни, равно как ПДн об их членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации органы власти района вправе получать и обрабатывать данные о частной жизни муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, только с их письменного согласия.
4.5.При принятии решений, затрагивающих интересы муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, органы власти района не имеют права основываться на ПДн, полученных исключительно в результате их автоматизированной обработки без согласия муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района.
4.6.К сведениям, содержащим ПДн, как на бумажных, так и на электронных носителях информации, доступ разрешен лицам, которые непосредственно используют ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, в служебных целях. Перечень должностных лиц в органах власти района, использующих ПДн в служебных целях:
- начальник отдела по работе с кадрами управления организационно-контрольной и кадровой работы администрации района;
- главный специалист отдела по работе с кадрами управления организационно-контрольной и кадровой работы администрации района;
- главный бухгалтер;
- главный специалист отдела бухгалтерии.
Доступ к ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, без специального разрешения имеют:
- глава администрации района;
- заместители главы администрации района;
- начальники структурных подразделений - в отношении ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, находящихся в их непосредственной подчиненности в соответствии с их должностными регламентами (инструкциями);
- начальник мобилизационного отдела, исполняющий функции режимно-секретного подразделения администрации района.
Кроме перечня лиц, допущенных к ПДн, в органах власти района разрабатывается разрешительная система доступа (матрица доступа) к информационным ресурсам, ИСПДн и связанным с ее использованием работам, документам. Полный перечень работ и разрабатываемых документов по обеспечению безопасности персональных данных при их обработке в ИСПДн оформляется согласно приложению к Протоколу заседания рабочей группы по информатизации, телекоммуникациям и защите информации в Белгородской области при Совете Губернатора области 21 мая 2010 г. (исх. 27-08/42 ДСП от 2 июня 2010 г.).
4.7.Хранение ПДн в органах власти района:
а) ПДн, содержащиеся на бумажных носителях, хранятся в запираемых шкафах, сейфах, установленных на рабочих местах лиц, ответственных за обработку ПДн в органах власти района;
б) ПДн в электронном виде хранятся на отдельных серверах, которые не имеют подключений к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), либо на жестких дисках автоматизированных рабочих мест, к которым имеют доступ только лица, ответственные за обработку ПДн в органах власти района.
4.8.ПДн, содержащиеся на бумажных носителях, сдаются в архив.
5.Доступ к персональным данным
5.1.К ПДн муниципальных служащих и работников органов власти района имеют доступ только те, кому ПДн необходимы в связи с исполнением ими трудовых обязанностей.
5.2.В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя органа власти района доступ к ПДн может быть предоставлен иному муниципальному служащему или работнику, замещающему должность муниципального служащего администрации района, должность которого не включена в перечень должностных лиц органа власти района, уполномоченных на обработку ПДн и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих ПДн.
5.3.Уполномоченные лица имеют право получать только те ПДн, которые необходимы им для выполнения конкретных функций в соответствии с их должностным регламентом (инструкцией).
5.4.Муниципальные служащие и работники, замещающие должности муниципальных служащих администрации района, имеют право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев, предусмотренных федеральным законодательством), содержащей их ПДн. Муниципальные служащие и работники, замещающие должности муниципальных служащих администрации района, имеют право вносить изменения в свои данные в случае обнаружения в них неточностей.
5.5.Муниципальные служащие и работники, замещающие должности муниципальных служащих администрации района, имеющие доступ к ПДн в органах власти района в связи с исполнением трудовых обязанностей, обеспечивают хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц.
5.6.В период отпуска, служебной командировки и иных случаях длительного отсутствия на рабочем месте муниципального служащего или работника, замещающего должность муниципального служащего администрации района, он обязан передать документы и иные носители, содержащие ПДн, лицу, на которое приказом руководителя органа власти района будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие ПДн, передаются другому муниципальному служащему или работнику, замещающему должность муниципального служащего администрации района, имеющему доступ к ПДн, по указанию руководителя структурного подразделения.
При увольнении муниципального служащего или работника, замещающего должность муниципального служащего администрации района, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому муниципальному служащему или работнику, замещающему должность муниципального служащего администрации района, имеющему доступ к ПДн, по указанию руководителя структурного подразделения.
5.7.Процедура оформления доступа к ПДн уполномоченного муниципального служащего или работника, замещающего должность муниципального служащего администрации района, включает в себя:
- ознакомление под роспись с настоящим Положением, иными нормативными актами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту ПДн в органах власти района;
- истребование письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил их обработки, подготовленного по установленной форме (приложение N 2).
5.8.Отдел по работе с кадрами управления организационно-контрольной и кадровой работы администрации района вправе передавать ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, в отдел бухгалтерии и иные структурные подразделения органа власти района, в случае если эти данные необходимы для исполнения уполномоченными муниципальными служащими или работниками, замещающими должности муниципальных служащих администрации района, соответствующих структурных подразделений своих трудовых обязанностей.
При передаче ПДн муниципальные служащие и работники, замещающие должности муниципальных служащих администрации района, отдела по работе с кадрами управления организационно-контрольной и кадровой работы администрации района предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство в соответствии с пунктом 3.4 настоящего Положения.
5.9.Передача (обмен и т.д.) ПДн между подразделениями органов власти района осуществляется только между муниципальными служащими и работниками, замещающими должности муниципальных служащих администрации района, которые имеют доступ к ПДн в рамках исполнения своих должностных регламентов и инструкций.
5.10.Передача ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, третьим лицам осуществляется только с их письменного согласия, которое оформляется по установленной форме и должно включать в себя:
- фамилию, имя, отчество, должность;
- наименование и юридический адрес органа власти района, получающего согласие;
- цель передачи ПДн;
- перечень ПДн, на передачу которых дается согласие;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, на передачу их ПДн третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью; когда третьи лица оказывают услуги органам власти района на основании заключенных договоров, а также в случаях, установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и настоящим Положением.
5.11.Не допускается передача ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, в коммерческих целях без их письменного согласия.
5.12.Муниципальные служащие и работники, замещающие должности муниципальных служащих администрации района, передающие ПДн третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих ПДн. Акт должен содержать следующие условия:
- уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральным законодательством.
Передача документов (иных материальных носителей), содержащих ПДн, осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг органу власти района;
- соглашения о неразглашении конфиденциальной информации либо наличия в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту ПДн;
- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей ПДн, ее перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, несет ответственное лицо, а также руководитель структурного подразделения, осуществляющего передачу ПДн третьим лицам.
5.13.Представителю (в том числе адвокату) муниципального служащего и работников, замещающих должности муниципальных служащих администрации района, ПДн передаются в порядке, установленном действующим законодательством и настоящим Положением.
Информация передается при наличии одного из документов:
- нотариально заверенной доверенности представителя;
- письменного заявления муниципального служащего либо работника, замещающего должность муниципального служащего администрации района, написанного в присутствии ответственного лица, допущенного к обработке ПДн органа власти района (если заявление написано не в присутствии ответственного лица, допущенного к обработке ПДн органа власти района, то оно должно быть нотариально заверено).
Доверенности и заявления хранятся в отделе по работе с кадрами управления организационно-контрольной и кадровой работы администрации района, где обрабатываются запрашиваемые ПДн муниципальных служащих или работников, замещающих должности муниципальных служащих администрации района.
5.14.Предоставление ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
5.15.ПДн могут быть предоставлены родственникам или членам семьи муниципального служащего или работников, замещающих должности муниципальных служащих администрации района, только с их письменного разрешения, за исключением случаев, когда передача ПДн без согласия допускается действующим законодательством Российской Федерации.
5.16.Доступ к электронным базам данных, содержащим ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, обеспечивается системой паролей. Пароли устанавливаются начальниками или лицом, назначенным ответственным за обеспечение безопасности ПДн в структурных подразделениях органа власти района, и сообщаются индивидуально муниципальным служащим или работникам, замещающим должности муниципальных служащих администрации района, имеющим доступ к ПДн.
5.17.Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений проверяется не реже 1 раза в месяц соответствующими должностными лицами или ответственным, который назначается руководителем органа власти района.
5.18.Статьей 12 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" предусмотрена трансграничная передача ПДн, которая может осуществляться на территории иностранных государств в следующих случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
6.Защита персональных данных в органах власти района
6.1.Защита ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, от неправомерного их использования или утраты обеспечивается органами власти района в порядке, установленном федеральным законодательством.
6.2.Общую организацию защиты ПДн муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, осуществляет руководитель органа власти района.
6.3.Начальник отдела по работе с кадрами управления организационно-контрольной и кадровой работы администрации района и/или лицо, назначенное ответственным за обеспечение безопасности информации в отделе кадров, организует:
- ознакомление с настоящим Положением под роспись муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района;
- в случае вступления иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, также производится ознакомление под роспись;
- истребование с муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, письменного обязательства о соблюдении конфиденциальности ПДн в органах власти района и соблюдении правил их обработки;
- общий контроль за соблюдением муниципальными служащими и работниками, замещающими должности муниципальных служащих администрации района, мер по защите ПДн.
6.4.Организацию и контроль за защитой ПДн осуществляют непосредственно руководители муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, которые имеют доступ к ПДн.
Методическое руководство по защите ПДн осуществляет лицо, ответственное за обеспечение безопасности информации.
6.5.В целях обеспечения защиты сведений, хранящихся в электронных базах данных органов власти района, от НСД, искажения и уничтожения информации, а также от иных неправомерных действий применяются следующие основные методы и способы защиты информации:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам (матрица доступа), информационной системе и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, постоянная проверка элементов системы на наличие следов взлома;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
- учет и хранение съемных носителей информации, их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации, учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета съемных носителей информации;
- использование средств защиты информации, прошедших процедуру оценки соответствия;
- использование защищенных каналов связи;
- размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории;
- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку ПДн;
- контроль доступа в помещения информационной системы посторонних лиц;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
6.6.При взаимодействии ИСПДн с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 6.5 настоящего Положения, применяются следующие методы и способы защиты информации от НСД:
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
- обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
- защита информации при ее передаче по каналам связи;
- использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
- использование средств антивирусной защиты;
- централизованное управление системой защиты персональных данных информационной системы.
6.7.С целью получения общедоступной информации, кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
- периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
- активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
- анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.
6.8.При удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;
- управление доступом к защищаемым персональным данным информационной сети;
- использование атрибутов безопасности.
6.9.При межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования), кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- создание защищенного канала связи, обеспечивающего защиту передаваемой информации;
- осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных (использование цифровой электронной подписи и шифрования информации).
6.10.При межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования), кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- создание защищенного канала связи, обеспечивающего защиту передаваемой информации;
- аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
- обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
- обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.
6.11.Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в ИСПДн применяются следующие методы и способы защиты информации:
- использование технических средств в защищенном исполнении;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- размещение объектов защиты в соответствии с предписанием на эксплуатацию;
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
- обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
- обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.
6.12.Если имеется функция воспроизведения информации акустическими средствами в ИСПДн, то используются методы и способы защиты акустической (речевой) информации. Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена ИСПДн, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при воспроизведении информации акустическими средствами. Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки ПДн в информационной системе.
6.13.Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.
6.14.Для защиты персональных данных в ИСПДн и выполнения пунктов 6.5 - 6.13 настоящего Положения органами власти района привлекаются для выполнения специальных, аналитических и экспертных работ по защите информации специализированные организации-лицензиаты ФСТЭК и ФСБ РФ.
Специализированные организации, привлекаемые органами власти для оказания услуг по защите ПДн, должны иметь лицензии ФСТЭК и (или) ФСБ России на деятельность по защите информации (проведение контроля отсутствия недекларированных возможностей, аттестации технических средств, установки необходимых средств защиты информации).
6.15.При обработке ПДн в информационной системе пользователями должно быть обеспечено:
а) использование предназначенных для этого разделов (каталогов), носителей информации, встроенных в технические средства, или съемных маркированных носителей;
б) недопущение физического воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) недопущение несанкционированного выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
6.16.При обработке ПДн в информационной системе руководителем органа власти района и лицами, ответственными за обеспечение безопасности в структурных подразделениях органов власти района, должны обеспечиваться:
а) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
б) учет лиц, допущенных к работе с ПДн в информационной системе, прав и паролей доступа;
в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
д) описание системы защиты ПДн.
6.17.Каждый съемный носитель, с записанными на нем ПДн, должен иметь маркировку, на которой указывается его уникальный учетный номер. Учет и выдачу съемных носителей ПДн осуществляют ответственные за обеспечение безопасности ПДн или делопроизводитель конфиденциальной информации в органах власти района в журнале учета.
6.18.В случае выхода из строя техники, на которой проводилась обработка ПДн, вынос за пределы территории органов власти района с целью ремонта, замены и т.п. без согласования с руководителем или ответственным за обеспечение безопасности ПДн в подразделении органа власти района запрещается.
6.19.Съемные носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется уполномоченной комиссией, утвержденной приказом в органах власти района. По результатам уничтожения носителей составляется акт, при необходимости уничтожения информации с носителей ПДн также составляется акт.
7.Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
7.1.Права, обязанности, действия муниципальных служащих и работников, замещающих должности муниципальных служащих администрации района, в трудовые обязанности которых входит обработка ПДн муниципального служащего и работников, замещающих должности муниципальных служащих администрации района, определяются их должностными регламентами (инструкциями).
7.2.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут ответственность в порядке, установленном действующим законодательстве.

Приложения

2014-04-25 Приложение к Распоряжению от 25 апреля 2014 года № 160